1.5G網(wǎng)絡(luò)安全面臨新的考驗

“4G改變生活，5G改變社會”，在“新基建”大潮的助推下，5G被賦予了時代意義。同時我們也要看到，5G賦能了千行百業(yè)的噴薄發(fā)展，也面臨著全新的威脅和挑戰(zhàn)。

5G 時代，移動網(wǎng)絡(luò)的商業(yè)環(huán)境、應(yīng)用場景、技術(shù)形態(tài)、網(wǎng)絡(luò)環(huán)境、監(jiān)管要求等都發(fā)生了改變，移動網(wǎng)絡(luò)生態(tài)發(fā)生了變化：

• 從商業(yè)環(huán)境上看，移動網(wǎng)絡(luò)從單主體網(wǎng)絡(luò)演進為一個多主體的網(wǎng)絡(luò)，存在更多不同的信任關(guān)系;
• 從應(yīng)用場景看，面向人的連接向面向機器的連接演變，承載了更多業(yè)務(wù);
• 從技術(shù)上看，引入基礎(chǔ)設(shè)施云化、網(wǎng)絡(luò)功能虛擬化、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)切片、邊緣計算、能力開放等技術(shù)，使網(wǎng)絡(luò)的架構(gòu)和層次復(fù)雜化、邊界模糊化;
• 從安全治理上看，國家對移動網(wǎng)絡(luò)提出更高的安全要求;需要從被動防御到主動防御的轉(zhuǎn)變。

移動網(wǎng)絡(luò)從可信可控網(wǎng)絡(luò)向非可信網(wǎng)絡(luò)發(fā)展，而目前移動網(wǎng)絡(luò)安全架構(gòu)(包括 5G 網(wǎng)絡(luò))還是按照安全域和安全層進行設(shè)計的，采用傳統(tǒng)的基于位置和區(qū)域的安全設(shè)計方法和安全技術(shù)。因此，網(wǎng)絡(luò)無邊界和傳統(tǒng)安全防護之間巨大的鴻溝會給網(wǎng)絡(luò)、應(yīng)用都帶來極大的安全風(fēng)險。5G 時代云網(wǎng)融合需要新的解決方案適應(yīng)無邊界無處不在的網(wǎng)絡(luò)時代。

2.基于零信任理念拓展5G網(wǎng)絡(luò)安全

5GC安全協(xié)議在設(shè)計時并沒有刻意參考零信任架構(gòu)，但實際上作為移動通信網(wǎng)安全架構(gòu)，3GPP 的安全設(shè)計和零信任存在一定的非嚴(yán)格映射關(guān)系。

a)身份認證：

UDM/UDR存儲終端的身份信息，提供終端接入網(wǎng)絡(luò)時的 IAM 功能;NRF通過證書實現(xiàn)對NF身份的校驗認證。

b)訪問授權(quán)：

NRF 可以看作類似策略引擎，基于NF 身份認證結(jié)果、運營商策略、網(wǎng)絡(luò)切片等信息集中控制各 NF 間的互訪關(guān)系，并通過 OAuth 2.0 完成服務(wù)授權(quán)。

c)流量安全性：

TLS 廣泛應(yīng)用于 PLMN 內(nèi)各 NF間、運營商互通等場景，提供控制面流量的安全防護。

d)最小服務(wù)集：

NF/NRF 等 5GC 網(wǎng)元僅針對規(guī)定的API提供服務(wù)。

根據(jù)零信任架構(gòu)的核心觀點，5GC 內(nèi)外網(wǎng)的安全威脅級別是一致的：5G 會廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等業(yè)務(wù)場景，部署環(huán)境復(fù)雜;在多個廠家互操作、某些 NF 在不安全環(huán)境部署、安全協(xié)議實現(xiàn)理解有差異、特定情況下 NF被惡意感染等多個特殊場景中，信任域內(nèi)的5G NF也一樣面臨風(fēng)險。因此可以使用零信任架構(gòu)的設(shè)計理念對5G安全協(xié)議進一步增強。

3.基于零信任打造5G網(wǎng)絡(luò)自適應(yīng)安全

基于零信任安全的5G網(wǎng)絡(luò)自適應(yīng)安全防護系統(tǒng)，可以提升5G網(wǎng)絡(luò)自身的安全性，尤其是網(wǎng)絡(luò)管理平面和5G核心網(wǎng)，滿足 5G網(wǎng)絡(luò)安全運營的需要。通過在 5GC SBA 架構(gòu)中引入零信任安全的基本要素，實現(xiàn)基于證書體系的 NFS 認證、基于 NFS ID的業(yè)務(wù)訪問授權(quán)、和基于 TLS 的安全傳輸;通過細化訪問策略，實現(xiàn)最小權(quán)限訪問;通過網(wǎng)絡(luò)層動態(tài)白名單，SPA(單包認證)技術(shù)，實現(xiàn)服務(wù)入口的隱藏;通過流量檢測、可視化分析，實現(xiàn)持續(xù)的安全評估、安全評級、和全生命周期的安全管理。

圖：“1+3+9+N”5G網(wǎng)絡(luò)自適應(yīng)安全防護系統(tǒng)

“1+3+9+N”5G網(wǎng)絡(luò)自適應(yīng)安全防護系統(tǒng)，即1個5G網(wǎng)絡(luò)自適應(yīng)安全防護系統(tǒng)，3大基礎(chǔ)平臺：零信任可信接入平臺、零信任威脅感知平臺、零信任終端管控平臺，實現(xiàn)9大安全能力：可信身份管理能力、最小化授權(quán)能力、業(yè)務(wù)準(zhǔn)入控制能力、暴露面收斂能力、流量威脅檢測能力、聯(lián)動阻斷能力、終端環(huán)境感知能力、數(shù)據(jù)管控能力，動態(tài)策略編排能力，保護N個業(yè)務(wù)系統(tǒng)，強化5G網(wǎng)絡(luò)縱深主動防御能力。

可信接入：

NF Consumer在正式發(fā)起TLS通信前，可以向策略服務(wù)器(可以是 NRF等)發(fā)送 SPA預(yù)認證報文，NRF通知 NF Producer 為該 Consumer 打開對應(yīng)的定制安全規(guī)則，允許該NF Consumer作為客戶端進行連接，該安全規(guī)則可以基于 IPtable 等狀態(tài)防火墻機制實現(xiàn)，在 SPA完成之前，NF Producer上防火墻規(guī)則默認為All Deny。這樣的預(yù)認證實現(xiàn)了防火墻規(guī)則的動態(tài)開關(guān)，避免了知名端口的濫用。

威脅感知：

通過非侵入式的長期記錄和分析網(wǎng)絡(luò)流量，可以進行流量分類、感知通信模式變化和分析可能的攻擊模式。在 Indirect 模式下，SCP 作為 HTTPS 的轉(zhuǎn)發(fā)節(jié)點，可以提供對應(yīng)的流量監(jiān)控、異常告警、日志記錄和安全審計功能，并通過API方式提供服務(wù)，供管理節(jié)點查詢或連接安全態(tài)勢感知系統(tǒng);在 Direct 模式下，各NF/NRF同樣具備類似的功能并以API方式提供這些安全能力。例如當(dāng)一個Access Token被多個NF使用、向同一個NF發(fā)起多個連接時，該目標(biāo)NF應(yīng)該進行告警，告知管理員該Access Token可能已泄露和發(fā)生了中間人攻擊。

終端管控：

5GC 自適應(yīng)安全防護在提供服務(wù)時，充分考慮端側(cè)的評分機制，以防止對端NF加載完成并通過可信驗證后的網(wǎng)絡(luò)攻擊行為，該攻擊行為可能是在NF運行期間被攻擊者滲入植入惡意軟件，也可能是軟件設(shè)計不嚴(yán)謹(jǐn)導(dǎo)致的漏洞。NF 根據(jù)對端 NF 的運行時間、流量和網(wǎng)絡(luò)行為逐漸積累其信任積分，并根據(jù)攻擊類型的嚴(yán)重等級扣減積分，這樣既避免了偶爾突發(fā)異常造成的誤判導(dǎo)致業(yè)務(wù)中斷，也做到了攻擊持續(xù)發(fā)生時的惡意 NF隔離。

4.打造5G安全運營閉環(huán)

新一代零信任網(wǎng)絡(luò)空間防護體系對于5G網(wǎng)絡(luò)的全域安全防護體系建設(shè)，遵循“先驗證用戶和設(shè)備、后訪問業(yè)務(wù)”的產(chǎn)品邏輯，實現(xiàn)針對終端域安全、邊緣域安全、核心域安全、應(yīng)用域安全和管理域安全的全覆蓋。通過傳統(tǒng)安全產(chǎn)品和技術(shù)的升級和改造，以及針對性的創(chuàng)新研究和突破，實現(xiàn)安全能力與5G安全需求的完美適配。著力打造智能、敏捷的5G安全運營閉環(huán)。